Beim GIMP-Team sind anscheinend genug Anfragen bezüglich der log4j-Schwachstellen eingegangen, dass es für eine explizite Entwarnung gereicht hat. Auf jeden Fall hat das Team eine Stellungnahme veröffentlicht, dass GIMP nicht von der 0-Day-Lücke in log4j (log4shell / CVE-2021-44228) betroffen ist. In der Stellungnahme wird klargestellt, dass GIMP log4j gar nicht benutzt und es sowieso keinen Java-Code in der Software gibt. Es ist also sicher, die Software sorgenfrei zu benutzen und tolle Kreationen damit zu erstellen.

Brian Krebs berichtet von einer weitere 0-Day-Sicherheitslücke in Oracles Java, die nur 24 Stunden nach Java 7 Update 11 aufgetaucht ist. Darin wurde eine Sicherheitslücke geschlossen, mit dem man einen Windows-Rechner unter seine Kontrolle bringen konnte. Allerdings fehlt derzeit noch jede Bestätigung, ob die Lücke auch echt ist und was sie tut. In einem exklusiven Cybercrime-Forum soll der Finder den Exploit an 2 Personen für je 5000 US-Dollar verkauft haben (mehr Leute bekommen die Code nicht und es ist wohl […]

Es gabe erst vor wenigen Tagen eine neue Chrome-Version. Nun hat Google wegen zwei als hoch eingestuften Sicherheitslücken gleich noch einmal nachgelegt – für Linux, Mac OS X, Windows und die Chrome-Plattform. Ein Fehler (161564 CVE-2012-5138) hängt mit der flaschen Behandlung von Pfaden zusammen. Die zweite Sicherheitslücke (162835 CVE-2012-5137) ist ein Use-after-free bei Medien-Quellen. Für das melden dieses Sichereheitsproblems hat Google 7331 US-Dollar (LEET) springen lassen. Der Finder, Pinkie Pie, hat nach eigenen Angaben auch die Aufgabe 64-Bit-Exploit erfüllt. Bei mir hat […]

Das Chrome-Team hat eine neue stabile Version für Linux, Mac OS X und Windows zur Verfügung gestellt. Darin sind einige Fehler und Sicherheitslücken ausgebessert. Insgesamt hat Google 2500 US-Dollar Kopfgeld für gemeldete Schwachstellen spendiert. Wenn die Lautsprecher-Konfiguration auf Quadraphonic gestellt war, funktioniert in Flash kein Ton. Die Entwickler haben sieben Sicherheitslücken ausgemerzt. Drei davon sind als hoch, drei als mittel und eine als niedrig eingestuft. Ein mit 1000 US-Dollar dotierter und als hoch eingestellter Fehler betrifft lediglich Mac OS X in […]

Entwickler Andrey Karpov hat eine Sicherheitslücke in der Anonymisierungs-Software TOR (The Onion Router) gefunden. Das Problem ist die Funktion memset(). Es handelt sich hier um einen Schutzmechanismus, der nicht mehr benutzten Puffer aufräumt und löscht. Diese Buffer können Passwörter, IP-Adressen und andere Anwenderdaten enthalten. Zerstört man diese Daten nicht, könnten sie ins Internet gesendet werden. Den TOR-Entwicklern ist diese Gefahr natürlich bekannt und sie versuchen, die Buffer-Inhalte mittels der oben genannten Funktion zu löschen. Dies sei aber ein großer Fehler, […]

Canonical hat eine Sicherheits-Anweisung ausgegeben, die Sicherheitslücken im Kernel von Ubuntu 12.04 LTS “Precise Pangolin” behandelt. Die Probleme betreffen auch alle Derivate der Distribution. Als Desktop-Anwender wird einen das weniger stören, denn man bekommt in der Regel automatische Updates. Wer einen Server betreibt und manuell aktualisiert, sollte sich die Anweisung mal zu Gemüte führen oder eben aktualisieren. Im Prinzip geht es um CVE-2012-3412 und CVE-2012-3430. Ersteres ist eine Schwachstelle im Zusammenhang mit TSO (TCP Segment Offload). Die Sicherheitslücke lässt sich von einem lokalen […]

Google Chrome für Android wurde ein Update spendiert und der Browser ist nun als Version 18.0.1025308 zu haben (Google Play). Die Software ist kompatibel mit Android 4.0 (Ice Cream Sandwich) oder später. Die neueste Version besser insgesamt 7 Sicherheitslücken aus, die alle mit einem Kopfgeld von 500 US-Dollar dotiert wurden. Alle Lücken sind als Medium eingestuft. [$500] [138210] Medium Information and credential disclosure by file:// URLs. Credit to Artem Chaykin. [$500] [138035] Medium Current-tab cross-application scripting (UXSS). Credit to Artem Chaykin. [$500] [144813] Medium UXSS via Intent extra data. Credit […]

Das muss ja ein Schlag ins Gesicht sein. Über die kürzlich gefundene Java-Lücke (0-Day, die auch schön ausgenutzt wurde) will ich mich gar nicht auslassen, das wurde überall breit getreten und Oracle hat bereits einen Patch zur Verfügung gestellt (Java 7 Update 7). Laut pcworld.com hat die in Polen ansässige Sicherheitsfirma Security Explorations nun angeblich eine neue Schwachstelle gefunden. Den Sicherheits-Experten zufolge lässt sich die neue Lücke ausnutzen, aus der Java-Sandbox auszubrechen. Danach kann ein Angreifer beliebigen Code auf dem darunterliegenden […]

Die Entwickler des Browsers Chrome haben den stabilen Kanal aktualisiert. Interessant dabei ist, dass es für Linux, Mac OS X und Windows drei verschiedene Builds gibt: 21.0.1180.81 für Linux und 21.0.1180.83 für Windows. Für Mac OS X wurden Chrome Frame und die Kanäle Stable und Beta laut eigener Aussage auf Version 21.0.1180.82 aktualisiert. Sicherheits-Updates sind diesmal keine vorhanden, allerdinge löst die neueste Ausgabe diverse Fehler. Ddas doppelseitige Drucken steht nun nicht mehr auf “Ja”. Chrome hatte selbst für eine Seite eine […]

Nomen ist Omen? 20 Lücken in Chrome 20 (20.0.1132.43) ausgebessert, passt irgendwie zusammen. Google hat sich den Spaß im Rahmen des Kopfgeldprogramms insgesamt 8000 US-Dollar kosten lassen. 5000 davon gehen an den mittlerweilen bekannten Chrome-Hacker miaubiz. 13 der Sicherheitslücken sind als hoch eingestuft, 4 als medium und 3 als niedrig. Ansonsten tut sich nicht viel. Es gibt lediglich Updates zur JavaScript Engine V8 (3.10.8.18) So weit zum Browser. Google hat aber weitere 3500 US-Dollar für Bereiche ausgeschüttet, die über Chrome […]